Le 28 mai 2019, la Commission nationale de l'informatique et des libertés (« CNIL ») a prononcé une amende de 400.000 euros à l’encontre de la société Sergic, une société de gestion immobilière, pour manquement à l’obligation de préserver la sécurité des données personnelles, mais également pour absence de limitation de la conservation des données. Il s’agit de la deuxième sanction prononcée par la CNIL sur le fondement du règlement général sur la protection des données[1] (« RGPD »), et elle est sévère.  

Faits

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site www.sergic.com indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres personnes en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle mené par la CNIL a alors permis de constater que les documents transmis par les personnes recherchant une location étaient librement accessibles. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès et de mariage, de relevés de compte, de relevés d’identité bancaire ou encore de quittances de loyers.

La CNIL a constaté deux manquements au RGPD : (i) un manquement à l’obligation de préserver la sécurité des données personnelles et (ii) un manquement à l’obligation de limiter la durée de conservation des données.

Manquement à l’obligation de préserver la sécurité des données personnelles

En vertu de l’article 32 du RGPD, tout responsable de traitement est tenu de mettre en œuvre les mesures techniques et organisationnelles de nature à garantir un niveau de sécurité adapté au risque. Ce niveau doit être évalué en fonction « des risques que présente le traitement, résultant notamment (…) de l'accès non autorisé à de telles données, de manière accidentelle ou illicite ».

Or, selon la CNIL, la société Sergic n’avait pas mise en place la procédure d’authentification des utilisateurs permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement. Pourtant, il s’agit d’une mesure élémentaire à prévoir, comme la CNIL l’avait déjà rappelé dans plusieurs décisions antérieures. Par exemple en 2018, la CNIL avait sanctionné la société Optical Center dont le site n’intégrait pas de fonctionnalité permettant de vérifier que la personne connectée était bien le client, avant d’afficher ses factures[2].

Le manquement reproché à la société Sergic était par ailleurs aggravé par la grande quantité des données rendues accessibles ; ces informations étant « susceptibles de révéler certains aspects parmi les plus intimes de la vie privée, comme le jugement de divorce ». La CNIL a également pris en compte l’insuffisante diligence de la société pour remédier à la faille de son système. Notamment, aucune mesure d’urgence n’avait permis de limiter la vulnérabilité du système auquel les corrections nécessaires n’ont été apportées qu’au bout de six mois.

Manquement à l’obligation de fixer une durée de conservation des données

La CNIL rappelle que cette durée doit être déterminée en fonction de la finalité du traitement. Elle a estimé qu’en l’espèce, dès lors que cette finalité était atteinte (ici, l’attribution de logements en location), les données personnelles des demandeurs n’ayant pas trouvé ou pas accepté d’offre de location ne pouvaient plus être conservées dans la base active.

Pour sa défense, la société Sergic avait fait valoir qu’elle conservait les données même dans ce cas, afin de se prévenir d’une éventuelle saisine du Défenseur des droits pour des faits de discrimination par des candidats n’ayant pas accédé à une location, la prescription de l’action s’agissant de cette infraction pénale[3] étant de six ans.  

La CNIL n’a pas accepté cet argument dans la mesure où lorsqu’une finalité est atteinte, il reste la possibilité, à défaut d’une suppression, de mettre les données personnelles en archivage intermédiaire afin de préserver la nécessité de prouver le respect d’obligations légales dans un cadre précontentieux ou contentieux. Or, la société Sergic conservait en base active les données des personnes n’ayant pas accédé à la location « pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement (…) sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place ».

Calcul de la sanction

Dans le calcul du montant de la sanction, la CNIL a tenue compte de la gravité du manquement, du fait que les données accessibles révélaient des aspects très intimes de la vie des personnes concernées et du manque de diligence de la part de la société Sergic pour apporter un remède à la faille constatée. Elle a rappelé qu’un manquement à l’obligation de limiter la conservation de données pouvait être sanctionné à hauteur de 20 millions d’euros ou 4% des chiffre d’affaires mondial, montant il est vrai considérable. Prenant en compte les caractéristiques intrinsèques de la société Sergic, telles que sa taille et sa surface financière, la CNIL a prononcé une amende de 400.000 euros, soit 0,9% du chiffre d’affaires de la société Sergic en 2017. Cette sanction est infiniment plus lourde que celle infligée à Uber en décembre 2018 pour avoir insuffisamment sécurisé les données des utilisateurs de son service VTC ; une sanction certes également de 400.000 euros mais qui ne représentait que 0,006% du chiffre d’affaires du groupe  2017[4].

Quatre enseignements peuvent être tirés de cette décision :

  • Tout d’abord, la CNIL s’est engagée sur la voie de la sévérité, dans un but dissuasif, et il faut donc prendre très au sérieux les obligations de protection des données qui pèsent sur les entreprises ;
     
  • Ensuite, les failles de sécurité résultant de négligences telles que celles constatées en l’espèce seront de plus en plus inacceptables, même si on peut supposer que la CNIL tiendra compte du coût de la sécurité pour les PME ;
     
  • En troisième lieu, la limitation de la durée de conservation doit conduire les entreprises à mettre en place des systèmes sûrs d’archivage intermédiaire, et il serait intéressant à cet égard que la CNIL en lien avec l’Agence nationale de la sécurité des systèmes d’information puisse proposer des standards aux entreprises grandes et moins grandes qui les mettent à l’abri de risques de sanction pour violation des limitations de la durée de conservation des données personnelles ;
     
  • Enfin, en cas de manquements constatés et ce même avant toute investigation ou audit de la CNIL, les entreprises en cause doivent immédiatement prévoir des mesures d’urgence, sinon pour remédier immédiatement aux failles si cela demande un certain temps, mais a minima pour réduire l’impact négatif des failles en question. 

 


[1] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Délibération de la formation restreinte n° SAN-2018-002 du 7 mai 2018 prononçant une sanction pécuniaire de 250.000 euros à l’encontre de la société Optical Center telle que réformée par la décision du Conseil d’Etat du 17 avril 2019, n° 422575.

[3] Article 225-1 du code pénal.

[4] Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société Uber France SAS.